Megosztás a következőn keresztül:

Windows 365 architektúra

  • Cikk

Windows 365 egy felhasználónkénti havi licencmodellt biztosít, ha felhőbeli számítógépeket üzemeltet az ügyfelek nevében a Microsoft Azure-ban. Ebben a modellben nincs szükség a tárolásra, a számítási infrastruktúra architektúrájára vagy a költségekre. A Windows 365 architektúra lehetővé teszi a meglévő Azure-hálózatkezelési és -biztonsági befektetések használatát is. A felhőbeli számítógépek kiépítése a felügyeleti központ Microsoft Intune Windows 365 szakaszában meghatározott konfigurációnak megfelelően történik.

Virtuális hálózati kapcsolat

Minden felhőbeli PC rendelkezik egy virtuális hálózati adapterrel (NIC) a Microsoft Azure-ban. Két hálózati adapter felügyeleti lehetősége van:

  • Ha Microsoft Entra csatlakozást és egy Microsoft által üzemeltetett hálózatot használ, nem kell Azure-előfizetést használnia vagy kezelnie a hálózati adaptert.
  • Ha saját hálózatot használ, és Azure-beli hálózati kapcsolatot (ANC) használ, a hálózati adaptereket az Azure-előfizetésben Windows 365 hozza létre.

A hálózati adapterek egy Azure-Virtual Network vannak csatolva az Azure hálózati kapcsolat (ANC) konfigurációja alapján.

Windows 365 számos Azure-régióban támogatott. Kétféleképpen szabályozhatja, hogy melyik Azure-régiót használja:

  • A Microsoft által üzemeltetett hálózat és egy Azure-régió kiválasztásával.
  • Ha kiválaszt egy Azure-beli virtuális hálózatot az Azure-előfizetéséből egy ANC létrehozásakor.

Az Azure-beli virtuális hálózat régiója határozza meg, hogy hol jön létre és üzemel a felhőbeli számítógép.

Saját virtuális hálózat használata esetén kiterjesztheti a hozzáférést az aktuális Azure-régiók között a Windows 365 által támogatott egyéb Azure-régiókra. Ha más régiókra szeretne kiterjeszteni, használhatja az Azure-beli virtuális hálózatok közötti társviszony-létesítést vagy Virtual WAN.

A saját Azure-beli virtuális hálózatával Windows 365 lehetővé teszi Virtual Network biztonsági és útválasztási funkciók használatát, beleértve a következőket:

Tipp

A felhőalapú számítógépek webszűrése és hálózatvédelme érdekében fontolja meg a Végponthoz készült Microsoft Defender hálózatvédelmi és webvédelmi funkcióinak használatát. Ezek a funkciók fizikai és virtuális végpontokon is üzembe helyezhetők a Microsoft Intune Felügyeleti központ használatával.

Microsoft Intune integráció

Microsoft Intune az összes felhőalapú számítógép kezelésére szolgál. Microsoft Intune és a társított Windows-összetevők különböző hálózati végpontokkal rendelkeznek, amelyeket engedélyezni kell a Virtual Network. Az Apple- és Android-végpontok figyelmen kívül hagyhatók, ha nem használja a Microsoft Intune az ilyen eszköztípusok kezelésére.

Tipp

Mindenképpen engedélyezze a Windows Notification Services (WNS) elérését. Előfordulhat, hogy nem észlel azonnal hatást, ha a hozzáférés le van tiltva. A WNS azonban lehetővé teszi, hogy a Microsoft Intune azonnal elindítsa a műveleteket a Windows-végpontokon ahelyett, hogy normál házirend-lekérdezési időközökre vár az adott eszközökön, vagy hogy a szabályzatok lekérdezése indításkor/bejelentkezéskor történik. A WNS a Windows-ügyfél és a WNS közötti közvetlen kapcsolatot javasolja.

Csak a végpontok egy részhalmazához kell hozzáférést adnia a Microsoft Intune bérlői helye alapján. A bérlő helyének (vagy az Azure Scale Unit (ASU) megkereséséhez jelentkezzen be a Microsoft Intune Felügyeleti központba, és válassza a Bérlői felügyelet>Bérlő részletei lehetőséget. A Bérlő helye területen a "Észak-Amerika 0501" vagy az "Európa 0202" kifejezéshez hasonló jelenik meg. A Microsoft Intune dokumentáció sorai földrajzi régiónként vannak megkülönböztetve. A régiókat az első két betű jelöli a nevekben (na = Észak-Amerika, eu = Európa, ap = Asia Pacific). Mivel a bérlők áthelyezhetők egy régión belül, a legjobb, ha a régió egy adott végpontja helyett egy teljes régióhoz engedélyezi a hozzáférést.

A Microsoft Intune szolgáltatásrégióról és az adathelyre vonatkozó további információkért lásd: Adattárolás és -feldolgozás Intune.

Identitásszolgáltatások

Windows 365 Microsoft Entra ID és helyi Active Directory Tartományi szolgáltatások (AD DS) is használ. Microsoft Entra ID a következő lehetőségeket nyújtja:

  • Felhasználói hitelesítés a Windows 365 (mint bármely más Microsoft 365-szolgáltatás esetében).
  • Eszközidentitás-szolgáltatások Microsoft Intune Microsoft Entra hibrid csatlakozáson vagy Microsoft Entra csatlakozáson keresztül.

Amikor a felhőalapú számítógépeket úgy konfigurálja, hogy Microsoft Entra hibrid csatlakozást használjanak, az AD DS az alábbiakat biztosítja:

  • Helyszíni tartományhoz való csatlakozás a felhőbeli számítógépekhez.
  • A Távoli asztali protokoll (RDP) kapcsolatainak felhasználói hitelesítése.

Amikor felhőalapú számítógépeket konfigurál Microsoft Entra csatlakozás használatára, Microsoft Entra ID a következő lehetőségeket nyújtja:

  • A felhőbeli számítógépek tartományhoz való csatlakoztatásának mechanizmusa.
  • Felhasználóhitelesítés RDP-kapcsolatokhoz.

További információ arról, hogy az identitásszolgáltatások hogyan befolyásolják a felhőalapú számítógépek üzembe helyezését, felügyeletét és használatát: Identitás és hitelesítés.

Microsoft Entra ID

Microsoft Entra ID a Windows 365 webportálhoz és a távoli asztali ügyfélalkalmazásokhoz egyaránt biztosít felhasználói hitelesítést és engedélyezést. Mindkettő támogatja a modern hitelesítést, ami azt jelenti, hogy Microsoft Entra feltételes hozzáférés integrálható az alábbiak biztosításához:

  • többtényezős hitelesítés
  • helyalapú korlátozások
  • bejelentkezési kockázatkezelés
  • munkamenetkorlátok, beleértve a következőket:
    • távoli asztali ügyfelek és a Windows 365 webportál bejelentkezési gyakorisága
    • cookie-megőrzés a Windows 365 webportálon
  • eszközmegfelelési vezérlők

A feltételes hozzáférés Microsoft Entra Windows 365 való használatáról a Feltételes hozzáférési szabályzatok beállítása című témakörben talál további információt.

Active Directory tartományi szolgáltatások

Windows 365 felhőalapú számítógépek hibrid vagy Microsoft Entra Microsoft Entra csatlakoztathatók. Ha Microsoft Entra hibrid csatlakozást használ, a felhőbeli számítógépeknek tartományhoz kell csatlakozniuk egy AD DS-tartományhoz. Ezt a tartományt szinkronizálni kell Microsoft Entra ID. A tartomány tartományvezérlői üzemeltethetők az Azure-ban vagy a helyszínen. Helyszíni üzemeltetés esetén kapcsolatot kell létesíteni az Azure-ból a helyszíni környezetbe. A kapcsolat lehet Azure Express Route vagy helyek közötti VPN. A hibrid hálózati kapcsolat létesítéséről további információt a biztonságos hibrid hálózat implementálását ismertető cikkben talál. A kapcsolatnak lehetővé kell tennie a felhőbeli számítógépek és az Active Directory által igényelt tartományvezérlők közötti kommunikációt. További információ: Tűzfal konfigurálása AD-tartományhoz és megbízhatósági kapcsolatokhoz.

Felhasználói kapcsolat

A felhőalapú PC-kapcsolatot az Azure Virtual Desktop biztosítja. A rendszer nem hoz létre közvetlenül az internetről bejövő kapcsolatokat a felhőbeli PC-hez. Ehelyett a kapcsolatok a következőkből jönnek létre:

  • A felhőbeli PC-ről az Azure Virtual Desktop végpontjaira.
  • A távoli asztali ügyfelek és az Azure Virtual Desktop végpontjai között.

További információ ezekről a portokról: Az Azure Virtual Desktop szükséges URL-címeinek listája. A hálózati biztonsági vezérlők konfigurálásának megkönnyítése érdekében használja az Azure Virtual Desktop szolgáltatáscímkéit a végpontok azonosításához. További információ az Azure-szolgáltatáscímkékről: Azure-szolgáltatáscímkék áttekintése.

Nincs szükség arra, hogy a felhőbeli számítógépeket konfigurálja a kapcsolatok létrehozásához. Windows 365 zökkenőmentesen integrálja az Azure Virtual Desktop kapcsolati összetevőit katalógusba vagy egyéni rendszerképekbe.

További információ az Azure Virtual Desktop hálózati architektúrájáról: Az Azure Virtual Desktop hálózati kapcsolatainak ismertetése.

Windows 365 felhőbeli számítógépek nem támogatják a külső kapcsolatszervezőket.

"A nevében üzemeltetve" architektúra

A "nevében üzemeltetett" architektúra lehetővé teszi a Microsoft-szolgáltatások számára, hogy miután az előfizetés tulajdonosa megfelelő és hatókörön belüli engedélyeket delegált egy virtuális hálózatra, az üzemeltetett Azure-szolgáltatásokat egy ügyfél-előfizetéshez csatolja. Ez a kapcsolati modell lehetővé teszi, hogy a Microsoft-szolgáltatások szolgáltatásként és felhasználó által licencelt szolgáltatásokat nyújtsanak a standard használatalapú szolgáltatások helyett.

Az alábbi ábrák a Microsoft által üzemeltetett hálózattal rendelkező Microsoft Entra csatlakozás konfigurációjának logikai architektúráját, az ügyfél hálózati kapcsolatát használó Microsoft Entra csatlakozás konfigurációját ("saját hálózat használata"), valamint egy Microsoft Entra hibrid csatlakoztatási konfigurációt mutatnak be egy ANC használatával.

Képernyőkép Microsoft Entra csatlakozás architektúrájáról a Microsoft által üzemeltetett hálózattal

Képernyőkép Microsoft Entra byo-hálózattal rendelkező architektúra csatlakoztatásáról

Képernyőkép Microsoft Entra hibrid csatlakoztatási architektúráról

A felhőbeli PC-kapcsolatot a virtuális hálózati adapter biztosítja. A "nevében üzemeltetett" architektúra azt jelenti, hogy a felhőbeli számítógépek a Microsoft tulajdonában lévő előfizetésben léteznek. Ezért a Microsoftnak meg kell fizetnie az infrastruktúra futtatásának és kezelésének költségeit.

Windows 365 kezeli a kapacitást és a régión belüli rendelkezésre állást az Windows 365-előfizetésekben. Windows 365 határozza meg a virtuális gép méretét és típusát a felhasználóhoz rendeltlicenc alapján. Windows 365 a helyszíni hálózati kapcsolat létrehozásakor kiválasztott virtuális hálózat alapján határozza meg, hogy melyik Azure-régióban üzemeljenek a felhőbeli számítógépek.

Windows 365 összhangban van a Microsoft 365 adatvédelmi szabályzataival. A Microsoft vállalati felhőszolgáltatásainak ügyféladatait különböző technológiák és folyamatok védik:

  • A titkosítás különböző formái.
  • Logikailag el van különítve más bérlőktől.
  • Korlátozott, ellenőrzött és biztonságos felhasználói csoportok számára érhető el adott ügyfelekről.
  • Hozzáférés biztosítása szerepköralapú hozzáférés-vezérléssel.
  • Replikálva több kiszolgálóra, tárolási végpontra és adatközpontra a redundancia érdekében.
  • Figyelve a jogosulatlan hozzáférés, a túlzott erőforrás-használat és a rendelkezésre állás szempontjából.

A Windows 365 felhőalapú PC titkosítással kapcsolatos további információkért lásd: Adattitkosítás Windows 365.

Következő lépések

Tudnivalók Windows 365 identitásról és hitelesítésről.